ターゲットを分類する
NIST RMF アプリケーション内の [分類] セクションは、予備的なリスクアセスメントと影響分析を通じてターゲットの分類を容易にします。
注:
バージョン 10.1.0 以降、NIST RMF ユースケースアクセラレーター は現在製品を使用している顧客に対してのみサポートされます。新規および既存のお客様は、GRC: Continuous Authorization Monitoring アプリケーションの使用を検討してください。詳細については、「継続的な承認とモニタリング」を参照してください。
まず、エンティティまたはエンティティタイプからターゲットが作成されます。アプリケーションフローは影響分析から始まります。ユーザーはターゲットを検索し、基本情報を提供する NIST RMF で使用するように設定します。次に、ユーザーは、[機密性] 、[完全性] 、および [可用性] の各パラメーターについて潜在的な影響度の値を決定する予備リスクアセスメントを実行します。これらの値の最も高い影響度評価によって影響度の値が決まります。
注:
ユーザーは、必要に応じて影響度の値を上書きできます。
影響度の値は、NIST 800-53.r4 特別出版カタログに基づいて、ターゲットに推奨されるベースラインセキュリティポリシーステートメントを特定するために使用されます。ユーザーは、ベースラインセキュリティポリシーステートメントをレビューし、そのターゲット (プロファイルなど) のセキュリティコントロールを実装します。標準的なアプローチは ポリシーとコンプライアンス管理 アプリケーションで概説されています。